在后量子签名方案中存在一种权衡，一旦你开始推理它们在真实系统中的表现，这种权衡就会变得明显。 速度、签名大小以及基础安全假设的保守程度往往相互牵制。通常你可以在这三者中合理地做到两者，但不可能同时满足三者。 我称之为“后量子签名三难问题”。 将后量子签名视为位于一个三角形内，使得设计空间更容易推理。不同的方案在孤立状态下并没有好坏之分。它们在选择支付哪些成本以及这些成本出现在哪里时做出了不同的选择。一旦你对此明确，就更容易将一个方案与一个系统匹配，而不是抽象地争论哪个是“最佳”的。 我在下面详细写了这个问题。